在過去幾年中,我們看到身分安全 解決方案的採用大幅增加。因為這些類型的解決方案有助於防止各種密碼猜測和竊取技術,例如暴力密碼猜測,以及在某些情況下的鍵盤記錄。
儘管這些解決方案提供了附加價值,但任何安全研究人員都會告訴您這還不夠。有一種相對簡單且極其常見的技術,可以允許威脅行為者進行未經授權的訪問,甚至不需要知道憑證或發起 MFA 質詢。該技術就是透過竊取 cookie來劫持網路會話。
這篇部落格文章將概述竊取 cookie 的惡意軟體 (infostealer) 和著名的 infostealer 惡意軟體系列。我們將介紹常見的感染技術和影響,並查看一些範例。
資訊竊取者有許多不同的技術來瞄準受害者。我們看到的最常見的技術通常不是針對任何特定的個人,而是針對盡可能廣泛的受眾。三種主要的感染方式是網路釣魚、惡意廣告(即透過 Google 和 Facebook 等熱門網站上的惡意廣告傳播)以及冒充破解程式和遊戲金手指等非法軟體。
一旦使用者開啟網路釣魚附件或執行下載的任何程序,惡意軟體就會開始運作。竊取者通常針對各種應用程式的各種類型的登入和會話數據,我們稍後將詳細介紹其中一些數據。需要注意的是,大多數應用程式資料不需要提升權限即可訪問,這使得惡意軟體無需以管理員身份運行即可竊取 cookie 等內容。收集所有資料後,會將其發送到命令和控制伺服器,供威脅行為者查看並根據需要使用。通常,被盜資料會從伺服器匯出,在暗網或有時在明網駭客論壇上的各種論壇上出售。
資訊竊取者的影響可能有很大差異。對於組織而言,資訊竊取者更令人擔憂的方面是,攻擊者通常會購買資訊竊取者竊取的憑證,以發動更具針對性和更強大的攻擊。可以說,最糟糕的情況是威脅行為者獲得公司程式碼庫或客戶支援的存取權限,然後利用該存取權限發動供應鏈攻擊,這將波及許多其他組織。
除了供應鏈攻擊之外,被盜的cookie 還可以作為勒索軟體營運商的初始存取點,這意味著組織的一些被盜資料將在暗網上洩露,同時更多資料在其網路中被加密,從而導致營運停止。
我們還看到許多其他影響。一些值得注意的例子是盜竊,當威脅行為者獲得對各種支付系統或加密應用程式的存取權時就會發生盜竊。威脅行為者利用信譽良好的社群媒體帳號的存取權來推行加密貨幣詐騙也很常見。
圖 1:Infostealer 感染流程
勒索軟體團體經常使用洩漏網站來準確(儘管不是完美)測量每個勒索軟體團體有多少受害者,而資訊竊取者通常不會公佈他們有多少受害者。與勒索軟體洩漏網站最接近的是各種論壇上出售的被盜日誌。但這些都帶來了許多問題。例如,許多日誌不包含有關哪個資訊竊取者被用來竊取這些日誌的資訊。當然,即使是用於研究,也存在有關訪問被盜日誌的整個法律問題。由於這些問題,大多數人使用偵測遙測來嘗試評估哪些資訊竊取者最成功。不幸的是,這些都有自己的問題。由於將進程識別為資訊竊取程式比確定使用了哪個特定竊取程式要容易得多,因此我們經常看到檢測引擎將惡意軟體識別為「通用竊取程式」或嘗試猜測惡意軟體,但偶爾會出錯。
您可能認為最成功的惡意軟體根本不會被偵測到。然而,在實踐中,往往會出現貓捉老鼠的遊戲,惡意軟體的高偵測率會導致惡意軟體開發人員修改惡意軟體以避免偵測。發現自己遺失了特定惡意軟體的安全供應商會更新其偵測邏輯。這意味著檢測到某種惡意軟體的供應商數量隨著時間的推移而變化,但不同惡意軟體家族的平均值相當一致。因此,對特定惡意軟體進行更多檢測可能意味著它在全球範圍內出現更多,這意味著它更成功。
考慮到這一點,我們決定在線查看多個遙測源,看看結果的一致性。查看 VirusTotal 上傳數量排名前五的資訊竊取者,
在 2024 年 2 月期間的 Any.Run 和惡意軟體市集中,我們得到以下資訊:
| 病毒總數 | 任意運行 | 惡意軟體集市 | |
| 1. | RisePro(~9.2K) | 升普(286) | 升普(267) |
| 2. | 紅線(~7.8K) | 紅線(262) | 紅線(171) |
| 3. | 竊取C(~2.7K) | 偷竊C(122) | 偷竊C(133) |
| 4. | 浣熊(~1.7K) | 維達爾(115) | 魯瑪C2(104) |
| 5. | 維達爾(~1.4K) | 魯瑪C2(46) | 純日誌(101) |
正如我們所看到的,只有前三個的結果是一致的。排名前幾名的是 RisePro、RedLine 和 StealC。 LummaC2 和 Vidar 都出現在第四和第五位,但也有一個欄位根本沒有進入前五名(在這兩種情況下,他們都排名第六,但相對落後)。 Raccoon 在 VirusTotal 上排名第四,但沒有出現在其他前五組中。在 MalwareBazaar 中,整個月僅上傳了兩次 Raccoon。最後,PureLogs 也只出現過一次,在 MalwareBazaar 集中排名第五。
除了 cookie 竊盜之外,infostealer 惡意軟體還經常竊取其他幾個值得一提的重要瀏覽器檔案。
「本地狀態」文件可能是其中最重要的。由於 Cookie 和其他瀏覽資料被視為敏感訊息,因此瀏覽器會對其大部分內容進行加密。但存在一個問題,因為瀏覽器還需要儲存解密金鑰才能存取該資料。該密鑰儲存在本機狀態檔案中,因此惡意軟體也會竊取它。本機狀態檔案透過稱為DPAPI的 Windows 機制進行保護。不過,不幸的是,事實證明,在阻止惡意軟體存取該檔案中的資料方面,這只不過是一個減速帶。
另一個重要文件是「登入資料」文件。該文件正如其名稱所暗示的那樣:瀏覽器儲存的登入資料。這通常包括使用者名稱和密碼之類的內容,這意味著即使在 MFA 被停用的任何地方,威脅行為者也可以在沒有 cookie 的情況下獲得存取權限。
與登入資料檔案一樣,另一個目標檔案稱為「Web 資料」檔案。該文件包含瀏覽器使用的已儲存的表單資料。雖然沒有明確表示密碼,但該文件在某些情況下可以包含密碼,因為密碼通常會作為表單的一部分輸入。其他敏感資料(例如信用卡資訊)也可能保存在此文件中,這對攻擊者來說可能很有價值。
除了瀏覽器資料之外,資訊竊取者惡意軟體通常還針對少數桌面應用程序,例如 Telegram、Discord 和 Steam。最後,某些竊取者還可以配置為針對受害電腦上的任何資料夾,這樣他們最終也可以竊取其他敏感文件。
現在我們已經了解了竊取者的工作原理,讓我們來看看一些範例。特別是 RedLine,它是一個相對較老的竊取工具,覆蓋範圍相當廣,因此我們將重點放在 RisePro、StealC 和 LummaC2。
升普
正如我們從遙測中看到的,RisePro 始終是最多產的資訊竊取者。它的出現頻率似乎是除 RedLine 之外的所有其他資訊竊取程序的兩倍多。因此,我們將比其他竊取者保持更高的標準,並專注於他們似乎搞砸的地方。
惡意軟體自行清理是常見的做法。我們經常看到惡意軟體刪除它們創建的各種文件,這使得研究人員和事件回應人員更難找出他們正在處理的惡意軟體。這也適用於 RisePro。我們可以從 Procmon 日誌(圖 2)中看到惡意軟體如何從瀏覽器中提取一些資料並將其複製到新檔案中,然後在不久後進行清理時刪除相同檔案。然而,RisePro 並不會以同樣的方式處理所有文件——有些文件會被遺漏。特別是,惡意軟體在臨時資料夾的子資料夾中保存的名為「passwords.txt」的檔案在惡意軟體運行後不會被刪除。
圖 2:RisePro 將登入資料從 Chrome 複製到臨時資料夾,然後刪除
除了不禮貌和不自行清理之外,該檔案對於惡意軟體來說也是一個嚴重的問題。打開它(圖 3),我們清楚地看到我們正在處理 RisePro Stealer。在他們留下的一份文件中張貼巨大的橫幅,讓任何研究人員和事件回應人員都清楚地知道他們正在與 RisePro 打交道。更糟的是,即使他們清理了,僅僅像這樣寫入檔案就可以被許多 EDR 類型的解決方案輕鬆檢測到,以識別 RisePro 感染。
圖3:刪除的passwords.txt 檔案中的RisePro 橫幅
StealC 是另一個成功的資訊竊取者,並且具有相對較好的覆蓋範圍。我們將主要關注他們的一項我們認為有趣的功能。許多研究人員開發和維護各種惡意軟體的配置提取器。這是識別惡意軟體並提取有用資訊(例如所使用的 C2 伺服器)的好方法。對於資訊竊取者,我們還可以查看竊取者配置的目標瀏覽器和其他軟體。
由於配置提取器的通用性,一些威脅行為者已經開始努力阻止研究人員以各種方式提取配置。例如,在勒索軟體領域,我們看到了一些惡意軟體,例如 Egregor 和 ALPHV,它們需要特定的命令列參數來提取其配置。這樣,即使研究人員擁有樣本,如果不知道命令列參數,它的用途也會受到限制。
然而,資訊竊取者通常需要自動運行,並且不能依賴威脅參與者手動輸入運行所需的參數。 StealC 對 infostealers 中的配置提取器使用了部分解決方案,這看起來很獨特。雖然大部分配置都在惡意軟體本身中,但目標應用程式清單儲存在伺服器端。然後,惡意軟體發送請求以獲取該部分配置(圖 4 和 5)。當然,這只能是部分解決方案,因為它需要將 C2 位址本身儲存在惡意軟體中,以便惡意軟體能夠發送請求以獲取其餘配置。
圖 4:來自 StealC C2 伺服器的 Base64 編碼回應
圖 5:StealC 惡意軟體下載的設定的解碼
目前尚不清楚此功能背後的原因是否是為了避免配置提取器,或者目的是否是為了在修改惡意軟體目標時提供更大的靈活性。例如,如果出現新的瀏覽器,其他竊取者將需要編譯新的可執行檔並將其分發給新的受害者。同時,StealC 可能能夠修改伺服器上的配置,並立即影響所有最近感染其惡意軟體的受害者。
LummaC2 並不像我們研究過的其他竊取者那麼常見。他們甚至沒有進入 VirusTotal 的前五名。然而,他們絕對值得關注,因為該組織針對惡意軟體的方法似乎相對創新且靈活。在過去的六個月裡,我們已經看到了三個最近的例子。第一個是使用三角學作為反沙箱措施。然後,當Google Chrome 中的 MultiLogin 問題被發現時,Lumma 是第一個採用該技術「恢復」被盜 cookie 的組織。最後,當他們透過「收費成人工具」感染電腦時,Reddit 上出現了創造性的分發方法。
該組織有點讓人想起早期的 LockBit 勒索軟體集團,該集團規模較小,但比早期的競爭對手更具創新性和靈活性。但是,四年後,他們不僅在洩密網站的受害者人數方面排名第一,而且他們的受害者人數幾乎是第二名的五倍。看到相似之處,我們認為值得關注這個群體,因為他們最終可能會走類似的道路,並成為(迄今為止)最成功的資訊竊取者群體。
正如我們之前所看到的,大多數資訊竊取者惡意軟體透過某種使用者互動模式傳播。因此,提高用戶對此事的認識至關重要。許多組織定期運行網路釣魚模擬,以使員工在閱讀電子郵件時保持警惕,這是一個好的開始。但也建議人們提高對從廣告、盜版軟體和遊戲作弊下載軟體的風險的認識。制定一項政策來阻止員工在公司電腦上使用個人電子郵件也是一個好主意,因為這可能允許有權訪問個人帳戶的攻擊者同步對公司服務的訪問,正如我們在最近的 Okta 漏洞中看到的那樣。還應該部署 EDR 和 EPM 類型的解決方案,以首先防止惡意軟體執行和存取 cookie。
最後,CyberArk 安全瀏覽器可以配置為在兩種狀態下運行,其中cookie 永遠不會保存在磁碟上,僅在記憶體中即時使用,以降低端點上存在的任何惡意軟體受到損害的風險。此外,cookie/會話令牌可以保存在 CyberArk 雲端基礎架構中,從而增加另一層安全性和保護。正如前面 StealC 所暗示的那樣,我們可以假設竊取者暫時不會僅僅因為瀏覽器是新的就以 CSB 之類的東西為目標。但是,即使他們開始瞄準來自該瀏覽器的 cookie,透過這些配置,惡意軟體仍然無法從端點竊取 cookie。
即使在今天,人們如此專注於保護數位身份,惡意軟體仍然有一種常見且相對簡單的方法來繞過大多數類型的保護。隨著網路犯罪市場充斥著從網路釣魚工具包到資訊竊取惡意軟體再到資訊竊取者竊取的日誌等各種內容,威脅行為者非常容易簡單地購買過程中的任何步驟,並對組織造成巨大損害。因此,保持警惕並維持最佳安全實踐以防止憑證和 cookie 被盜至關重要。
Ari Novick 是 CyberArk Labs 的惡意軟體分析師。
文章來源/cyberark Blog cyberark Blog
返回